Eseguire la migrazione a Microsoft Defender per Office 365 - Fase 3: Onboarding

• Si applica a:

  ✅ Microsoft Defender for Office 365 Plan 2

Fase 1: preparazione	Fase 2: configurazione	Phase 3: onboarding
		Sei qui!

Introduzione alla fase 3: Onboarding della migrazione a Microsoft Defender per Office 365. Questa fase di migrazione include i passaggi seguenti:

1. Iniziare l'onboarding di Security Teams
2. (Facoltativo) Escludere gli utenti pilota dal filtro in base al servizio di protezione esistente
3. Ottimizzare l'intelligence per lo spoofing
4. Ottimizzare la protezione della rappresentazione e l'intelligence per le cassette postali
5. Usare i dati dei messaggi segnalati dall'utente per misurare e modificare
6. (Facoltativo) Aggiungere altri utenti al progetto pilota ed eseguire l'iterazione
7. Estendere la protezione di Microsoft 365 a tutti gli utenti e disattivare la regola del flusso di posta SCL=-1
8. Cambiare i record MX

Passaggio 1: Iniziare l'onboarding di Security Teams

Se l'organizzazione dispone di un team di risposta alla sicurezza, è il momento di iniziare a integrare Microsoft Defender per Office 365 nei processi di risposta, inclusi i sistemi di ticketing. Questo processo è un intero argomento a se stesso, ma a volte viene trascurato. Il coinvolgimento anticipato del team di risposta alla sicurezza assicura che l'organizzazione sia pronta a gestire le minacce quando si cambia record MX. La risposta agli eventi imprevisti deve essere ben attrezzata per gestire le attività seguenti:

• Apprendere i nuovi strumenti e integrarli nei flussi esistenti. Ad esempio:
  • Amministrazione gestione dei messaggi in quarantena è importante. Per istruzioni, vedere Gestire i messaggi e i file in quarantena come amministratore.
  • La traccia dei messaggi consente di vedere cosa è successo ai messaggi durante l'immissione o l'uscita da Microsoft 365. Per altre informazioni, vedere Traccia dei messaggi nell'interfaccia di amministrazione di Exchange moderna in Exchange Online.
• Identificare i rischi che potrebbero essere stati inseriti nell'organizzazione.
• Ottimizzare e personalizzare gli avvisi per i processi aziendali.
• Gestire la coda degli eventi imprevisti e correggere i potenziali rischi.

Se l'organizzazione ha acquistato Microsoft Defender per Office 365 piano 2, dovrebbe iniziare a familiarizzare con e usando funzionalità come Esplora minacce, Ricerca avanzata e Eventi imprevisti. Per i training pertinenti, vedere https://aka.ms/mdoninja.

Se il team di risposta alla sicurezza raccoglie e analizza i messaggi non filtrati, è possibile configurare una cassetta postale SecOps per ricevere questi messaggi non filtrati. Per istruzioni, vedere Configurare le cassette postali SecOps nei criteri di recapito avanzati.

SIEM/SOAR

Per altre informazioni sull'integrazione con SIEM/SOAR, vedere gli articoli seguenti:

• Panoramica sulle API di Microsoft Defender XDR
• API di streaming
• API ricerca avanzata
• API incidenti

Se l'organizzazione non dispone di un team di risposta alla sicurezza o di flussi di processo esistenti, è possibile usare questa volta per acquisire familiarità con le funzionalità di ricerca e risposta di base in Defender per Office 365. Per altre informazioni, vedere Analisi delle minacce e risposta.

Ruoli controllo degli accessi in base al ruolo

Le autorizzazioni in Defender per Office 365 sono basate sul controllo degli accessi in base al ruolo e sono illustrate in Autorizzazioni nel portale di Microsoft Defender. Ecco i punti importanti da tenere presenti:

• Microsoft Entra ruoli assegnano autorizzazioni a tutti i carichi di lavoro in Microsoft 365. Ad esempio, se si aggiunge un utente all'amministratore della sicurezza nel portale di Azure, dispone di autorizzazioni di amministratore della sicurezza ovunque.
• Email & ruoli di collaborazione nel portale di Microsoft Defender concedere le autorizzazioni al portale di Microsoft Defender e al Portale di conformità di Microsoft Purview. Ad esempio, se si aggiunge un utente all'amministratore della sicurezza nel portale di Microsoft Defender, l'accesso dell'amministratore della sicurezza è disponibile solo nel portale di Microsoft Defender e nella Portale di conformità di Microsoft Purview.
• Molte funzionalità del portale di Microsoft Defender si basano sui cmdlet di PowerShell Exchange Online e richiedono pertanto l'appartenenza ai gruppi di ruoli nei ruoli corrispondenti (tecnicamente, gruppi di ruoli) in Exchange Online (in particolare, per l'accesso alla Exchange Online PowerShell corrispondente cmdlet).
• Esistono Email & ruoli di collaborazione nel portale di Microsoft Defender che non hanno alcun equivalente ai ruoli di Microsoft Entra e sono importanti per le operazioni di sicurezza, ad esempio il ruolo Anteprima e il ruolo Search e Ripulisci.

In genere, solo un subset di personale di sicurezza necessita di diritti aggiuntivi per scaricare i messaggi direttamente dalle cassette postali degli utenti. Questa esigenza richiede un'autorizzazione aggiuntiva che il lettore di sicurezza non dispone per impostazione predefinita.

Passaggio 2: (Facoltativo) Escludere gli utenti pilota dal filtro in base al servizio di protezione esistente

Anche se questo passaggio non è obbligatorio, è consigliabile configurare gli utenti pilota per ignorare il filtro in base al servizio di protezione esistente. Questa azione consente a Defender per Office 365 di gestire tutti i compiti di filtro e protezione per gli utenti pilota. Se non si esentano gli utenti pilota dal servizio di protezione esistente, Defender per Office 365 funziona in modo efficace solo in caso di mancati riscontri dall'altro servizio (filtrando i messaggi che sono già stati filtrati).

Nota

Questo passaggio è esplicitamente necessario se il servizio di protezione corrente fornisce il wrapping dei collegamenti, ma si vuole pilotare la funzionalità Collegamenti sicuri. Il doppio wrapping dei collegamenti non è supportato.

Passaggio 3: Ottimizzare l'intelligence per lo spoofing

Controllare le informazioni dettagliate sull'intelligence spoofing per vedere cosa viene consentito o bloccato come spoofing e per determinare se è necessario eseguire l'override del verdetto di sistema per lo spoofing. Alcune origini della posta elettronica critica per l'azienda potrebbero avere record di autenticazione della posta elettronica non configurati correttamente in DNS (SPF, DKIM e DMARC) e si potrebbero usare le sostituzioni nel servizio di protezione esistente per mascherare i problemi di dominio.

L'intelligence spoofing può salvare la posta elettronica dai domini senza record di autenticazione della posta elettronica appropriati nel DNS, ma la funzionalità a volte richiede assistenza per distinguere uno spoofing valido da uno spoofing non valido. Concentrarsi sui tipi di origini messaggio seguenti:

• Origini messaggio esterne agli intervalli di indirizzi IP definiti in Filtro avanzato per i connettori.
• Origini dei messaggi con il numero massimo di messaggi.
• Origini dei messaggi che hanno il massimo impatto sull'organizzazione.

L'intelligence per spoofing alla fine si ottimizza dopo aver configurato le impostazioni segnalate dall'utente, quindi non c'è bisogno di perfezione.

Passaggio 4: Ottimizzare la protezione della rappresentazione e l'intelligence per le cassette postali

Dopo aver avuto abbastanza tempo per osservare i risultati della protezione dalla rappresentazione in Non applicare alcuna modalità di azione , è possibile attivare singolarmente ogni azione di protezione della rappresentazione nei criteri anti-phishing:

• Protezione della rappresentazione utente: mettere in quarantena il messaggio sia per Standard che per Strict.
• Protezione della rappresentazione del dominio: mettere in quarantena il messaggio sia per Standard che per Strict.
• Protezione dell'intelligence per le cassette postali: spostare il messaggio nelle cartelle junk Email dei destinatari per Standard; Mettere in quarantena il messaggio per Strict.

Più a lungo si monitorano i risultati della protezione della rappresentazione senza agire sui messaggi, maggiore sarà il numero di dati da identificare che possono essere necessari o blocchi. Provare a usare un ritardo tra l'attivazione di ogni protezione sufficientemente significativa da consentire l'osservazione e la regolazione.

Nota

Il monitoraggio e l'ottimizzazione frequenti e continui di queste protezioni sono importanti. Se si sospetta un falso positivo, analizzare la causa e usare le sostituzioni solo se necessario e solo per la funzionalità di rilevamento che lo richiede.

Ottimizzare l'intelligence per le cassette postali

Anche se l'intelligence per le cassette postali è configurata per non intraprendere alcuna azione sui messaggi che sono stati determinati come tentativi di rappresentazione, è attivata e apprende i modelli di invio e ricezione della posta elettronica degli utenti pilota. Se un utente esterno è in contatto con uno degli utenti pilota, i messaggi provenienti da tale utente esterno non vengono identificati come tentativi di rappresentazione da parte dell'intelligence delle cassette postali (riducendo così i falsi positivi).

Quando si è pronti, seguire questa procedura per consentire all'intelligence delle cassette postali di agire sui messaggi rilevati come tentativi di rappresentazione:

• Nei criteri anti-phishing con le impostazioni di protezione Standard modificare il valore di Se l'intelligence per le cassette postali rileva un utente rappresentatoin Sposta messaggio nelle cartelle Posta indesiderata Email dei destinatari.

• Nei criteri anti-phishing con le impostazioni di protezione strict modificare il valore di If mailbox intelligence detects and impersonated user from to Quarantine the message (Se l'intelligence per le cassette postali rileva e rappresenta l'utente da in quarantena).

Per modificare i criteri, vedere Configurare i criteri anti-phishing in Defender per Office 365.

Dopo aver osservato i risultati e aver apportato eventuali modifiche, passare alla sezione successiva per mettere in quarantena i messaggi rilevati dalla rappresentazione dell'utente.

Ottimizzare la protezione della rappresentazione utente

In entrambi i criteri anti-phishing basati sulle impostazioni Standard e Strict modificare il valore se viene rilevato un messaggio come rappresentazione utente in Quarantena del messaggio.

Controllare le informazioni dettagliate sulla rappresentazione per vedere cosa viene bloccato come tentativi di rappresentazione utente.

Per modificare i criteri, vedere Configurare i criteri anti-phishing in Defender per Office 365.

Dopo aver osservato i risultati e aver apportato eventuali modifiche, passare alla sezione successiva per mettere in quarantena i messaggi rilevati dalla rappresentazione del dominio.

Ottimizzare la protezione della rappresentazione del dominio

In entrambi i criteri anti-phishing basati sulle impostazioni Standard e Strict, modificare il valore se un messaggio viene rilevato come rappresentazione del dominio in Quarantena del messaggio.

Controllare le informazioni dettagliate sulla rappresentazione per vedere cosa viene bloccato come tentativi di rappresentazione del dominio.

Per modificare i criteri, vedere Configurare i criteri anti-phishing in Defender per Office 365.

Osservare i risultati e apportare eventuali modifiche in base alle esigenze.

Passaggio 5: Usare i dati dei messaggi segnalati dall'utente per misurare e modificare

Quando gli utenti pilota segnalano falsi positivi e falsi negativi, i messaggi vengono visualizzati nella scheda Utente segnalato della pagina Invii nel portale Microsoft Defender. È possibile segnalare i messaggi non identificati erroneamente a Microsoft per l'analisi e usare le informazioni per modificare le impostazioni e le eccezioni nei criteri pilota in base alle esigenze.

Usare le funzionalità seguenti per monitorare ed eseguire l'iterazione delle impostazioni di protezione in Defender per Office 365:

• Quarantena
• Esplora minacce (Esplora risorse)
• report di sicurezza Email
• Report di Defender per Office 365
• Informazioni dettagliate sul flusso di posta
• Report del flusso di posta

Se l'organizzazione usa un servizio di terze parti per i messaggi segnalati dall'utente, è possibile integrare tali dati nel ciclo di feedback.

Passaggio 6: (Facoltativo) Aggiungere altri utenti al progetto pilota ed eseguire l'iterazione

Quando si individuano e si risolvono i problemi, è possibile aggiungere altri utenti ai gruppi pilota e, di conseguenza, esentare i nuovi utenti pilota dall'analisi da parte del servizio di protezione esistente in base alle esigenze. Maggiore è il numero di test attualmente in corso, minore sarà il numero di problemi dell'utente che sarà necessario risolvere in un secondo momento. Questo approccio a cascata consente l'ottimizzazione rispetto a parti più grandi dell'organizzazione e offre ai team di sicurezza il tempo necessario per adattarsi ai nuovi strumenti e processi.

• Microsoft 365 genera avvisi quando i messaggi di phishing con attendibilità elevata sono consentiti dai criteri dell'organizzazione. Per identificare questi messaggi, sono disponibili le opzioni seguenti:

  • Esegue l'override nel report sullo stato della protezione dalle minacce.
  • Filtrare in Esplora minacce per identificare i messaggi.
  • Filtrare in Ricerca avanzata per identificare i messaggi.

  Segnalare eventuali falsi positivi a Microsoft il prima possibile tramite gli invii di amministratori e usare la funzionalità Tenant Allow/Block List per configurare le sostituzioni sicure per tali falsi positivi.

• È anche consigliabile esaminare le sostituzioni non necessarie. In altre parole, esaminare i verdetti che Microsoft 365 avrebbe fornito sui messaggi. Se Microsoft 365 ha eseguito il rendering del verdetto corretto, la necessità di eseguire l'override è notevolmente diminuita o eliminata.

Passaggio 7: Estendere la protezione di Microsoft 365 a tutti gli utenti e disattivare la regola del flusso di posta SCL=-1

Eseguire i passaggi descritti in questa sezione quando si è pronti per passare ai record MX in modo che puntino a Microsoft 365.

1. Estendere i criteri pilota all'intera organizzazione. Fondamentalmente, esistono diversi modi per estendere i criteri:

   • Usare criteri di sicurezza predefiniti e dividere gli utenti tra il profilo di protezione Standard e il profilo di protezione Strict (assicurarsi che tutti siano coperti). I criteri di sicurezza predefiniti vengono applicati prima dei criteri personalizzati creati o dei criteri predefiniti. È possibile disattivare i singoli criteri pilota senza eliminarli.

     Lo svantaggio dei criteri di sicurezza predefiniti è che non è possibile modificare molte delle impostazioni importanti dopo averle create.

   • Modificare l'ambito dei criteri creati e modificati durante il progetto pilota in modo da includere tutti gli utenti, ad esempio tutti i destinatari in tutti i domini. Tenere presente che se più criteri dello stesso tipo (ad esempio, i criteri anti-phishing) si applicano allo stesso utente (singolarmente, per appartenenza a gruppi o dominio di posta elettronica), vengono applicate solo le impostazioni dei criteri con la priorità più alta (numero di priorità più basso) e l'elaborazione si arresta per quel tipo di criteri.

2. Disattivare la regola del flusso di posta SCL=-1 (è possibile disattivarla senza eliminarla).

3. Verificare che le modifiche precedenti siano state applicate e che Defender per Office 365 sia ora abilitato correttamente per tutti gli utenti. A questo punto, tutte le funzionalità di protezione di Defender per Office 365 sono ora autorizzate ad agire tramite posta elettronica per tutti i destinatari, ma tale posta è già stata analizzata dal servizio di protezione esistente.

In questa fase è possibile sospendere la registrazione e l'ottimizzazione dei dati su larga scala.

Passaggio 8: Cambiare i record MX

Nota

• Quando si cambia il record MX per il dominio, possono essere necessarie fino a 48 ore per la propagazione delle modifiche in Internet.
• È consigliabile abbassare il valore TTL dei record DNS per abilitare una risposta più rapida e un possibile rollback (se necessario). È possibile ripristinare il valore TTL originale dopo il completamento e la verifica del passaggio.
• È consigliabile iniziare con la modifica dei domini usati meno frequentemente. È possibile sospendere e monitorare prima di passare a domini più grandi. Tuttavia, anche se si esegue questa operazione, è comunque necessario assicurarsi che tutti gli utenti e i domini siano coperti da criteri, perché i domini SMTP secondari vengono risolti in domini prima dell'applicazione di criteri.
• Più record MX per un singolo dominio funzioneranno tecnicamente, consentendo di avere il routing diviso, a condizione che siano state seguite tutte le indicazioni in questo articolo. In particolare, è necessario assicurarsi che i criteri vengano applicati a tutti gli utenti, che la regola del flusso di posta SCL=-1 venga applicata solo alla posta che passa attraverso il servizio di protezione esistente, come descritto in Passaggio 3 dell'installazione: Gestire o creare la regola del flusso di posta SCL=-1. Tuttavia, questa configurazione introduce un comportamento che rende la risoluzione dei problemi molto più difficile e pertanto non è consigliabile, soprattutto per lunghi periodi di tempo.
• Prima di cambiare i record MX, verificare che le impostazioni seguenti non siano abilitate nel connettore in ingresso dal servizio di protezione a Microsoft 365. In genere, il connettore avrà una o più delle impostazioni seguenti configurate:
  • e richiedono che il nome del soggetto nel certificato usato dal partner per l'autenticazione con Office 365 corrisponda a questo nome di dominio (RestrictDomainsToCertificate)
  • Rifiutare i messaggi di posta elettronica se non vengono inviati dall'interno di questo intervallo di indirizzi IP (RestrictDomainsToIPAddresses) Se il tipo di connettore è Partner e una di queste impostazioni è attivata, tutti i recapiti di posta ai domini avranno esito negativo dopo aver cambiato i record MX. È necessario disabilitare queste impostazioni prima di continuare. Se il connettore è un connettore locale usato per l'ambiente ibrido, non è necessario modificare il connettore locale. Tuttavia, è comunque possibile verificare la presenza di un connettore partner .
• Se anche il gateway di posta corrente fornisce la convalida del destinatario, è possibile verificare che il dominio sia configurato come autorevole in Microsoft 365. Ciò può impedire messaggi di rimbalzo non necessari.

Quando si è pronti, passare al record MX per i domini. È possibile eseguire la migrazione di tutti i domini contemporaneamente. In alternativa, è possibile eseguire prima la migrazione dei domini usati meno di frequente e quindi eseguire la migrazione del resto in un secondo momento.

Sentitevi liberi di sospendere e valutare qui in qualsiasi momento. Tuttavia, ricorda: una volta disattivata la regola del flusso di posta SCL=-1, gli utenti potrebbero avere due esperienze diverse per il controllo dei falsi positivi. Prima sarà possibile offrire un'esperienza unica e coerente, più gli utenti e i team dell'help desk saranno felici quando dovranno risolvere un messaggio mancante.

Passaggi successivi

Congratulazioni! La migrazione a Microsoft Defender per Office 365 è stata completata. Poiché sono stati seguiti i passaggi descritti in questa guida alla migrazione, i primi giorni in cui la posta viene recapitata direttamente in Microsoft 365 dovrebbero essere molto più fluidi.

A questo punto si inizia il normale funzionamento e manutenzione di Defender per Office 365. Monitorare e watch problemi simili a quelli riscontrati durante il progetto pilota, ma su larga scala. Le informazioni dettagliate sull'intelligence per lo spoofing e le informazioni dettagliate sulla rappresentazione sono molto utili, ma considerare la possibilità di rendere le attività seguenti un'occorrenza regolare:

• Esaminare i messaggi segnalati dall'utente, in particolare i messaggi di phishing segnalati dall'utente
• Esaminare le sostituzioni nel report sullo stato della protezione dalle minacce.
• Usare query di ricerca avanzata per cercare opportunità di ottimizzazione e messaggi rischiosi.